В начале этого года информация о процессорных уязвимостях Meltdown и Spectre стала первой громкой темой кибербезопасности 2018 года. Незащищенность кэша программных команд чипов Intel, AMD и Arm, выпущенных за последние 20 лет, привела к целой плеяде судебных тяжб и до сих пор обсуждается в СМИ. Как считают в Управлении перспективных исследовательских проектов Министерства обороны США (DARPA), 40% всех программных эксплойтов можно избежать, если устранить недостатки аппаратного обеспечения.
Поэтому в Управлении задумались над разработкой невзламываемого процессора, который бы сделал эксплойты невозможными. Грант на создание чипа получила команда из Мичиганского университета. В статье разберем, что уже известно о процессоре.
/ Flickr / Jin / CC
Проект MORPHEUS — одна из инициатив, реализуемых по грантам DARPA в рамках программы SSITH, которая ставит своей целью устранить аппаратные уязвимости. В основе концепции невзламываемого процессора лежит подход, который предполагает не реагирование на уже известные атаки («patch and pray»), а построение универсальной системы, способной справляться с любыми угрозами.
Тодд Остин (Todd Austin), профессор информатики, принимающий участие в работе над MORPHEUS, сравнил взлом будущего чипа с попыткой собрать кубик Рубика, ребра которого каждый раз поворачиваются, когда человек моргает.
Чтобы злоумышленник смог получить доступ к системе, ему для начала нужно найти программный баг (каким была ошибка в кэше программных команд). После этого остается определить, где хранятся ценные данные, и «забрать» их. Благодаря архитектуре процессора MORPHEUS обнаружение «местоположения» уязвимости и данных становится невозможным. Даже если злоумышленник найдет ошибку и попытается ее использовать, уязвимость и ценная информация «сменят свое расположение» случайным образом. На случай, если нападающий окажется достаточно быстр, предусмотрен второй уровень защиты в виде шифрования и политик domain enforcement, которые будут гарантировать дополнительные препятствия.
/ Pxhere / CC
Такой подход может защитить как аппаратное, так и программное обеспечение, и решить проблему «уязвимости нулевого дня», то есть обезопасить компьютеры от будущих, еще не возникших угроз.
Редактор ExtremeTech в разговоре о чипе «кубике Рубика» вспоминает эксплойт Rowhammer. Хакер мог запустить программу, которая многократно обращалась к конкретным рядам в памяти, словно «постукивая по ним молотком», до тех пор, пока электромагнитное излучение не проникнет в соседний участок памяти и не изменит значение отдельных битов.
В результате такой атаки злоумышленник мог повысить себе права доступа в системе. Например, на изображении ниже атака может вестись или на фиолетовую строку, чтобы «перевернуть» желтые биты, или на желтые строки, чтобы «перевернуть» фиолетовые биты.
/ Wikimedia / Dsimic / CC
Но вот чипу, который может менять адреса памяти и хранить данные в зашифрованном виде, такой «метод подбора» не страшен. По словам Остина, системы защиты, подобные MORPHEUS, до сих пор не были реализованы, поскольку их слишком затратно делать в виде ПО. Ученые из Мичигана надеются, что поддержка DARPA позволит им создать защиту на аппаратном уровне, которая не будет дорогостоящей. Однако пока неясно, какие ресурсы потребуются, чтобы интегрировать технологию в современные процессоры.
В конце прошлого года также стало известно о создании в Южной Корее похожего решения для защиты системы. В его основе лежит метод «физически неклонируемой функции» (PUF) – это функция, которая реализована в физической структуре и её просто оценить, но сложно подделать. В корейской разработке используются наноэлектромеханические системы, состоящие из кремниевого нанопровода, который подвешен в жидкости между двумя затворами — единицей и нулем. Во время изготовления PUF жидкость, в которой плавает нанопровод, испаряется, и провод случайным образом «прилипает» к одному из затворов. В результате генерируется код безопасности, который невозможно подобрать «извне».
Еще над одним прототипом системы с «физическими паролями» работают в Абу-Даби. По словам Озгура Синаноглу (Ozgur Sinanoglu), заместителя декана по инженерным вопросам Нью-Йоркского университета Абу-Даби, их чип является решением с системой блокировки от взломов, интегрированной в аппаратную часть. Специальная технология блокирует hardware и открывает доступ к возможностям чипа только тем, кто знает секретный ключ. До тех пор назначение чипа остаётся неизвестным.
Поэтому в Управлении задумались над разработкой невзламываемого процессора, который бы сделал эксплойты невозможными. Грант на создание чипа получила команда из Мичиганского университета. В статье разберем, что уже известно о процессоре.
/ Flickr / Jin / CC
Как работает чип
Проект MORPHEUS — одна из инициатив, реализуемых по грантам DARPA в рамках программы SSITH, которая ставит своей целью устранить аппаратные уязвимости. В основе концепции невзламываемого процессора лежит подход, который предполагает не реагирование на уже известные атаки («patch and pray»), а построение универсальной системы, способной справляться с любыми угрозами.
Тодд Остин (Todd Austin), профессор информатики, принимающий участие в работе над MORPHEUS, сравнил взлом будущего чипа с попыткой собрать кубик Рубика, ребра которого каждый раз поворачиваются, когда человек моргает.
Чтобы злоумышленник смог получить доступ к системе, ему для начала нужно найти программный баг (каким была ошибка в кэше программных команд). После этого остается определить, где хранятся ценные данные, и «забрать» их. Благодаря архитектуре процессора MORPHEUS обнаружение «местоположения» уязвимости и данных становится невозможным. Даже если злоумышленник найдет ошибку и попытается ее использовать, уязвимость и ценная информация «сменят свое расположение» случайным образом. На случай, если нападающий окажется достаточно быстр, предусмотрен второй уровень защиты в виде шифрования и политик domain enforcement, которые будут гарантировать дополнительные препятствия.
/ Pxhere / CC
Такой подход может защитить как аппаратное, так и программное обеспечение, и решить проблему «уязвимости нулевого дня», то есть обезопасить компьютеры от будущих, еще не возникших угроз.
Редактор ExtremeTech в разговоре о чипе «кубике Рубика» вспоминает эксплойт Rowhammer. Хакер мог запустить программу, которая многократно обращалась к конкретным рядам в памяти, словно «постукивая по ним молотком», до тех пор, пока электромагнитное излучение не проникнет в соседний участок памяти и не изменит значение отдельных битов.
В результате такой атаки злоумышленник мог повысить себе права доступа в системе. Например, на изображении ниже атака может вестись или на фиолетовую строку, чтобы «перевернуть» желтые биты, или на желтые строки, чтобы «перевернуть» фиолетовые биты.
/ Wikimedia / Dsimic / CC
Но вот чипу, который может менять адреса памяти и хранить данные в зашифрованном виде, такой «метод подбора» не страшен. По словам Остина, системы защиты, подобные MORPHEUS, до сих пор не были реализованы, поскольку их слишком затратно делать в виде ПО. Ученые из Мичигана надеются, что поддержка DARPA позволит им создать защиту на аппаратном уровне, которая не будет дорогостоящей. Однако пока неясно, какие ресурсы потребуются, чтобы интегрировать технологию в современные процессоры.
Другие разработки
В конце прошлого года также стало известно о создании в Южной Корее похожего решения для защиты системы. В его основе лежит метод «физически неклонируемой функции» (PUF) – это функция, которая реализована в физической структуре и её просто оценить, но сложно подделать. В корейской разработке используются наноэлектромеханические системы, состоящие из кремниевого нанопровода, который подвешен в жидкости между двумя затворами — единицей и нулем. Во время изготовления PUF жидкость, в которой плавает нанопровод, испаряется, и провод случайным образом «прилипает» к одному из затворов. В результате генерируется код безопасности, который невозможно подобрать «извне».
Еще над одним прототипом системы с «физическими паролями» работают в Абу-Даби. По словам Озгура Синаноглу (Ozgur Sinanoglu), заместителя декана по инженерным вопросам Нью-Йоркского университета Абу-Даби, их чип является решением с системой блокировки от взломов, интегрированной в аппаратную часть. Специальная технология блокирует hardware и открывает доступ к возможностям чипа только тем, кто знает секретный ключ. До тех пор назначение чипа остаётся неизвестным.
Еще несколько материалов об ИБ из блога 1cloud:
Комментарии (4)
untilx
12.03.2018 11:25Цитируя классику, такой процессор «впадает в нирвану: он не глючит, но и не работает».
atomAltera
12.03.2018 12:42Как то не убедительно это все выглядит. И наличие «второго уровня защиты» только доказывает несостоятельность «первого». По-моему определение «невзлымываемый чип» слишком громкое
14th
14.03.2018 09:57У IBM есть процессор Cell. Там тоже обещали всяческую безопасность.
Сама же проблема безопасности была видна еще когда появился «execution disable bit».
d-stream
Они забыли про «дайте самую совершенную систему защиты от дурака дураку и он тут же покажет ее несостоятельность».